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Wer  sind  wir? 


•  Lehr-  und  Forschungsgebiet  Informatik  4  der  RWTH  Aachen 

•  Gegriindet  im  Oktober  2003  fur  theoretische 
und  praktische  Forschung  im  Bereich  Sicherheit 

•  Ausbildung  in  Sicherheit 

•  Forschung  an  Honeypots  &  Honeynets 

•  Lehre  u.a.  "Hacker-Seminar",  "Hacker-Praktikum", 
"Summer  School  of  Applied  Security",  "Computer  Forensik", 
"  Pe  nTest-  Pra  kt  i  ku  m " 

•  NetZI  http://www-i4.informatik.rwth-aachen.de/lufg 

•  Aktuelle  Informationen: 

http : //mail - i4 . informatik . rwth- aachen . de/mailman/listinf o/luf gtalk 
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Ablauf 


•  allgemeine  Einfiihrung  in  Firewire 

•  Details  der  Schwachstelle  zeigen 

•  praktische  Demonstration 

•  Moglichkeiten,  den  Zugriff  zu  verhindern 

•  Ideen  fur  Forensik 


Michael  Becher,  Maximillian  Dornseif  -  Lehr-  und  Forschungsgebiet  lnformatik4,  RWTH  Aachen 


Feuriges  Hacken  -  SpafS  mit  Firewire 


Was  ist  Firewire? 


•  Apple  Computers  entwickelt  es  seit  1985 

•  IEEE  1394  (1995),  IEEE  1394a  (2000),  IEEE  1394b  (2002) 

•  von  Apple  vermarktet  als  Firewire  oder  FireWire 

•  von  Sony  vermarktet  als  i.Link  R 


FireWire 


•  serieller  Bus,  ahnlich  wie  USB,  nur  besser 

•  schneller  (800Mbit/s  verglichen  mit  480Mbit/s  bei  USB2) 

•  peer-to-peer,  braucht  keinen  Host-Rechner 

•  liefert  mehr  Strom  (1,5A  verglichen  mit  500mA  bei  USB2) 

•  Unterstiitzung  fur  isochrone  Anwendungen  (DV  &  Audio): 

garantierte  Bandbreite 
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Stecker  &  Kabel 


•  2  verschiedene  (kompatible)  Steckertypen 


•  6-polig:  Firewire 

•  4-polig:  i.Link 


*  ♦  2 

"1394"  Of  O  or  [, 


•  maximale  Kabellange:  4,5m 

•  maximal  63  Gerate  am  Bus,  maximal  1023  Busse 

•  Bus  ist  Baumstruktur,  maximal  16  Knoten  Tiefe 
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Speicheradressierung 


64bit  Unified  Memoryspace:  lObit  Bus  ID,  6bit  Node  ID 


Node/Serfal  Bus 
Addressing 


Node  Space  per 
Bus  {63  nodes) 


Bus  0 

0 

Node  0 

Mode  1 

Node  2 

Bus  1 

Node  4 

Bus  2 

1 

I 

Mode  5 

1 

1 

1 

1. 
i 

Node  6 

Bus  3 

L 

1 

1 

L^^- — -J. 

1 

1 

Node  59 

L 
1 

Node  60 

\ 

Bus  4 

(nodes  0:53) 

% 

\ 

Node  61  | 

1 

1 

Node  62 

Node  63 

48'hFFFF_FFFF_FFFF 

48'hFFFF  F000  0000 
4B'hFFFF_EFFF_FFFF 

48'hFFFF  0000  0000 


48'hFFFE  FFFF  FFFF 


physicalUpperBound  

physicnlUpperBound  -1 


48'hOOOO  0000  0000 


CSR  Space 


Upper  Address  Space 


Middle  Address  Space 


Low  Address  Space 


J  some  Physical 


} 


Physical  Range 


16  peta  bytes  -1 


Bus  1023 

i  n  od  ea  0;&3) 


16  exabytes- 1 


48bit  Speicher  pro  Knoten  =  256TB  pro  Gerat  adressierbar 
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Technische  Details 


•  hier  geht  es  um  asynchrone  Pakete 


•  quadlet  write  request  transmit: 


y  :k:      my*-  2H 


22  £l  £01  is  \&  17  16 


donation  ID 


is  1^  i3  iai 1 1  in  -a  a 


tLabel 


7  6   S  4 


tCode=4"hO 


3  2  i  0 


1394 
reserved 


desli  nationOFFsei  Hig  h 


destinationOFFse"!  gw 


quadiet  data 


FireWire 

System 

Architecture 


•  Speichereinheit  1  Quadlet  =  4  Byte 

•  node  =  Gerat  am  Bus 

•  GUID  =  Global  Unique  ID 


•  weitere  Details  in  "FireWire  System  Architecture11 
(auch  zu  dem,  was  hier  nicht  gebraucht  wird: 
Physikalische  Schicht,  isochroner  Transfer,  Initialisierung) 
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Die  OHCI-Spezifikation 


•  Open  Host  Controller  Interface 

http: //developer. intel . com/ technology/ 13 9 4 /download/ohci_ll .htm 

•  "When  a  block  or  quadlet  read  request  or  quadlet  write  request  is 
received,  the  1394  Open  HCI  chip  handles  the  operation  automatically 
without  involving  software  if  the  offset  address  in  the  request  packet 
header  meets  a  specific  set  of  criteria"  (diese  "criteria":  spater  Details) 

•  "Low  Address  Space  is  from  48'hO  up  to  physicalUpperBound. 
Asynchronous  read  and  write  requests  into  this  range  can  be  handled  by 
the  Physical  Request/Physical  Response  units,  providing  an  efficient 
mechanism  for  moving  asynchronous  data." 

•  "Beweis":  Debugging  beim  Linux  OHCI1394-Treiber  aktivieren  & 

Logs  ansehen 

=  >  keine  Eintrage  fur  Adressen  unter  PhyUpperBound  (=4GB) 
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Moglichkeiten  Lesen 


•  Bildschirmspeicher  auslesen 

•  Speicher  nach  Zeichenketten  absuchen 

•  Nach  moglichem  kryptografischen  Schliisselmaterial  suchen 

•  Informationen  iiber  das  System  &  Prozesse  sammeln 

•  Firma  nCipher  hat  Paper:  Schliissel-Material  im  Speicher  finden 

http : //www.ncipher . com/resources/downloads/f iles/white_papers/keyhide2 .pdf 

•  manchmal  reicht  es  auch  schon,  nur  Zeichenketten  zu  finden 
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Moglichkeiten  Schreiben 


•  System/Prozess  zum  Absturz  bringen 

•  Bildschirminhalt  verandern 

•  UID/GID  von  Prozessen  verandern 

•  Code  in  einen  Prozess  injizieren 

•  einen  zusatzlichen  Prozess  erzeugen 
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Demonstrationen 


•  Bildschirmspeicher  lesen: 

•  Text 

•  Grafik 

•  Bildschirmspeicher  schreiben:  schwarzer  Balken 

•  root-Rechte  fur  einen  Prozess  setzen 

•  Angreifer:  MacOS  X.3 

•  Opfer:  FreeBSD  5.3 
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Code  zum  Lesen  & 
Schreiben 

MacOS: 

IOCreatePluginlnterf aceForService (self ->aDevice,  klOFireWireLibTypelD, 

klOCFPluglnlnterf acelD,   &cf Pluglnlnterf ace,   &theScore) ; 

(*cf Pluglnlnterf ace) ->QueryInterf ace (cf Pluglnlnterf ace, 

CFUUIDGetUUIDBytes (klOFireWireDevicelnterf acelD) ,    (void  **) Sfwlntf ) ; 

(*fwlntf ) ->Open(fwIntf ) ; 

(*fwlntf ) ->Write (fwlntf ,   self ->aDevice,   &fwaddr,    (void  *)  buffer,   Sbufsize,   false,  0); 
(*fwlntf) ->Read (fwlntf ,   self ->aDevice,   Sfwaddr,    (void  *)  buffer,   Sbufsize,   false,   0) ; 

Linux  (Iibrawl394): 

handle  =  rawl394_new_handle  ()  ; 
rawl394_set_port (handle,   0) ; 

rawl394_write (handle,  node_id,   fwaddr,  bufsize,    (quadlet_t  *)  buf ) ; 
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Bildschirm  lesen 


•  Text 

•  Speicherlayout:  Ein  Zeichen  alle  8  Byte 

MacOS 

data  =  device. read (addrs [device. guid] ,  80*25*8) 

(*fwlntf) ->Read (fwlntf ,   self ->aDevice,   Sfwaddr,  buffer,   Sbufsize,  false,   0) ; 

•  Grafik 

•  Parameter  bleiben,  zusatzlich  bei  Umwandlung  in  Bilddatei: 

•  Anordnung  der  Farbwerte 

•  Bitreihenfolge 

MacOS 

data  =  device. read (pos,  xres*bpp) ; 
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Bildschirm  schreiben 


•  schwarzen  Balken  einfiigen 

•  Parameter: 

•  Rechner  (erkennbar  an  GUID) 

•  Startadresse  des  Bildschirmspeichers  (manuell) 

•  Aufldsung  &  Farbtiefe  (manuell) 

Linux 

unsigned  char  buf  [2048] = {0} ;  //  Nullen  fur  schwarze  Farbe 
for  (i=start_address ;  i<start_address+write_length;  i++)  { 

rawl394_write (handle,  node_id,   i,  2048,    (quadlet_t  *)buf) ; 

} 
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root-Rechte  fur  einen 
Prozess  setzen 


•  Suchmuster  aus  FreeBSD-Kernelstrukturen  extrahieren 

•  gesamten  Speicher  nach  Muster  absuchen 

•  wenn  Suchmuster  gefunden, 
dann  UID/GID  ersetzen  durch  0 
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Was  funktioniert? 

•  es  funktioniert: 

•  Lesen  &  Schreiben  von  MacOS-Rechnern 

•  Lesen  &  Schreiben  von  FreeBSD-Rechnern 

•  Schreiben  von  Linux-Rechnern 

•  es  funktioniert  nicht: 

•  Lesen  von  Linux-Rechnern 

•  Lesen  &  Schreiben  von  Windows-Rechnern 
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Zugriff  verhindern: 
OHCI  Filter 

•  Asynchronous  Request  Filters 

"The  1394  Open  HCI  allows  for  selective  access  to  host  memory  and  the  Asynchronous 
Receive  Request  context  so  that  software  can  maintain  host  memory  integrity.  The 
selective  access  is  provided  by  two  sets  of  64-bit  registers:  PhysRequestFilter  and 
AsynchRequestFilter.  These  registers  allow  access  to  physical  memory  and  the  AR 
Request  context  on  a  nodelD  basis."  (OHCI  Standard) 

•  PhysicalRequestFilter  Registers 

"If  an  asynchronous  request  is  received,  passes  the  AsynchronousRequestFilter,  and  the 
offset  is  below  PhysicalUpperBound  (section  5.15),  the  sourcelD  of  the  request  is  used  as 
an  index  into  the  PhysicalRequestFilter.  If  the  corresponding  bit  in  the 
PhysicalRequestFilter  is  set  to  0,  then  the  request  shall  be  forwarded  to  the 
Asynchronous  Receive  Request  DMA  context.  If  however,  the  bit  is  set  to  1,  then  the 
request  shall  be  sent  to  the  physical  response  unit."  (OHCI  Standard) 

•  Anfragen  in  diesen  asynchronen  DMA-Kontexten  sieht  der  Treiber 
und  kann  frei  daruber  entscheiden 
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OHCI  Filter  II 


Kurzfassung: 

-  AsynchronousRequestFilterHi,  AsynchronousRequestFilterLo: 

Jedes  auf  0  gesetzte  Bit  verhindert  generell  jede 
Zugriffsmoglichkeit  eines  Knotens  auf  den  lokalen  Knoten 

-  PhysicalRequestFilterHi,  PhysicalRequestFilterLo: 

Jedes  auf  0  gesetzte  Bit  verhindert  jede  direkte 
Zugriffsmoglichkeit  eines  Knotens  liber  die 

physical  response  unit  des  lokalen  Knotens 

-  PhysicalUpperBoundl 

Entscheidet  iiber  die  maximale  Adresse,  auf  die  direkte 
Zugrifsserlaubnis  erteilt  wird  (default  mit  4GB  initialisiert) 
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Zugriff  verhindern:  Linux 


•  Quellcode  Linux-Treiber 


ohcil394 .c 


/*  Accept  Physical  requests  from  all  nodes.  */ 
reg_write(ohci,OHCI1394_AsReqFilterHiSet,  Oxffffffff ) ; 
reg_write(ohci,OHCI1394_AsReqFilterLoSet,   Oxffffffff) ; 
/*  Turn  on  phys  dma  reception. 
* 

*  TODO:  Enable  some  sort  of  filtering  management. 
*/ 

if   (phys_dma)  { 

reg_write(ohci,OHCI1394_PhyReqFilterHiSet,  Oxffffffff) ; 

reg_write(ohci,OHCI1394_PhyReqFilterLoSet,   Oxffffffff) ; 

reg_write (ohci,OHCI1394_PhyUpperBound,   OxffffOOOO) ; 
}  else  { 

reg_write(ohci,OHCI1394_PhyReqFilterHiSet,  0x00000000) ; 
reg_write (ohci,OHCI1394_PhyReqFilterLoSet,   0x00000000) ; 

} 

DBGMSG("PhyReqFilter=%08x%08x", 

reg_read (ohci,OHCI1394_PhyReqFilterHiSet) , 
reg_read(ohci,OHCI1394_PhyReqFilterLoSet) ) ; 


=>  Modul-Option  'phys_dma=0'  fur  Modul  ohcil394  benutzen! 
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Zugriff  verhindern:  MacOS 


•  Quellcode  MacOS-Treiber 


IOFireWireController . cpp 

IOFWSecurityMode  mode  =  klOFWSecurityModeNormal ; 

OSString  *  securityModeProperty  =  OSDynamicCast (  OSString, options ->getProperty ("security -mode")  ); 

if (  securityModeProperty  !=  NULL  && 
strcmp ( "none" ,   securityModeProperty- >getCStringNoCopy () )    !=  0  ) 
{ 

//  set  security  mode  to  secure/permanent 
mode  =  klOFWSecurityModeSecurePermanent; 

} 

und  dadurch  spater: 

//  shut  them  all  down! 

f FWIM->setNodeIDPhysicalFilter (  klOFWAllPhysicalFilters,   false  ); 


=  >  OpenFirmware  security  mode  auf  etwas  anderes  als  'none1  setzen 


•  Aber:  Feature  ist  undokumentiert 
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Forensik 


Einander  ausschliefcende  Probleme: 

•  Rechner  ausschalten  und  eine  post  mortem-Analyse  machen 

■  zerstort  Informationen  iiber  laufende  Prozesse 

•  Informationen  auf  dem  laufenden  System  sammeln 

■  kann  die  wichtigen  Beweise  verwischen 

•  Problem  wird  gelost,  wenn  durch  Firewire  ein  Speicherabbild 
ohne  zusatzliche  Software  auf  dem  Rechner  moglich  ist 
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Forensik  II 


•  Firewire-Ports  an  Servern  vorsehen 

•  Zugriff  nicht  per  OHCI  Filter  filtern 

•  Aber:  Anschllisse  physisch  vor  Missbrauch  schiitzen 


•  System  bereithalten,  um  memory  dump  liber  Firewire  zu  Ziehen 
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Forensik  III  -  Ausblick 


Herausforderung  fur  Forensik: 

•  Zuordnen  des  physikalischen  Speichers  zum  logischen 
Speicherlayout  (memory  pages) 

•  Nachster  Schritt: 

Implementierung  von  /dev/kmem  auf  Firewire 
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Schlussfolgerungen 


•  Firewire-Buchsen  vor  physischem  Zugriff  schiitzen 

•  nur  vollkommen  vertrauenswiirdige  Gerate  an  die 
Firewire-Anschliisse  lassen 

•  OHCI-Filter  implementieren  oder  Workarounds  benutzen 
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